복잡한 'NKAbuse' 악성 코드는 블록체인을 사용하여 Linux, IoT 시스템에 숨깁니다.

NKAbuse라는 정교하고 다재다능한 악성 코드가 콜롬비아, 멕시코, 베트남의 Linux 데스크톱을 표적으로 삼아 플러더와 백도어로 작동하는 것으로 밝혀졌습니다.

이번 주 Kaspersky의 보고서에 따르면 Go로 작성된 이 크로스 플랫폼 위협은 NKN 블록체인 기반 P2P 네트워킹 프로토콜을 악용합니다. NKAbuse는 Linux 시스템뿐만 아니라 MISP 및 ARM과 같은 Linux 파생 아키텍처를 감염시킬 수 있으며, 이로 인해 IoT(사물 인터넷) 장치도 위험에 빠집니다.

탈 중앙화 NKN 네트워크 60,000개 이상의 공식 노드를 호스팅하고 다양한 라우팅 알고리즘을 사용하여 특정 페이로드의 목적지를 향한 가장 효율적인 노드 경로를 식별하여 데이터 전송을 간소화합니다.

독특한 멀티툴 악성 코드 접근 방식

Kaspersky의 보안 연구원인 Lisandro Ubiedo는 이 악성 코드를 독특하게 만드는 것은 NKN 기술을 사용하여 동료와 데이터를 주고 받고, Go를 사용하여 다양한 아키텍처를 생성하여 다양한 유형의 시스템을 감염시킬 수 있다는 점이라고 설명합니다. .

이는 무단 액세스를 허용하는 백도어 역할을 하며 대부분의 명령이 지속성, 명령 실행 및 정보 수집에 중점을 두고 있습니다. 예를 들어, 악성 코드는 디스플레이 범위를 식별하여 스크린샷을 캡처하고 이를 PNG로 변환한 다음 봇 마스터로 전송할 수 있습니다. Kaspersky의 NKAbuse 악성코드 분석.

동시에, 이는 표적 서버와 네트워크를 교란시킬 수 있는 파괴적인 분산 서비스 거부(DDoS) 공격을 개시하여 조직 운영에 심각한 영향을 미칠 위험을 안겨주는 범람원 역할을 합니다.

Ubiedo는 "이는 HTTP, DNS, TCP 등 여러 프로토콜을 사용하여 대상을 동시에 공격할 수 있는 플러더 및 백도어 기능을 갖춘 강력한 Linux 임플란트입니다. 공격자가 시스템을 제어하고 시스템에서 정보를 추출할 수도 있습니다."라고 말합니다. . "모두 같은 임플란트에 들어있습니다."

임플란트에는 PID, IP 주소, 메모리 및 구성과 같은 감염된 호스트에 데이터를 저장하는 봇 마스터와의 정기적인 통신을 위한 "하트비트" 구조도 포함되어 있습니다.

그는 이 악성코드가 실제로 존재하기 전에 NKN을 원격 관리 도구로 사용할 가능성을 탐색한 NGLite라는 개념 증명(PoC)이 있었지만 광범위하게 개발되거나 완전히 무장되지는 않았다고 덧붙였습니다. NKAbuse로.

악성 코드를 마스킹하는 데 사용되는 블록체인

P2P 네트워크는 이전에 다음과 같은 용도로 사용되었습니다. 멀웨어 배포42년 2023월 Palo Alto Network의 Unit XNUMX가 발견한 '클라우드 웜'을 포함하여 더 넓은 범위의 첫 번째 단계로 생각됩니다. 암호화폐 채굴 작업.

그리고 10월에는 ClearFake 캠페인이 발견되었습니다. 독점 블록체인 기술 기만적인 브라우저 업데이트 캠페인을 통해 RedLine, Amadey, Lumma와 같은 악성 코드를 배포하여 유해한 코드를 숨깁니다.

“EtherHiding”이라는 기술을 사용하는 해당 캠페인은 공격자가 암호화폐 도난을 넘어 블록체인을 어떻게 악용하고 있는지 보여주며 다양한 악의적인 활동을 은폐하는 데 사용된다는 점을 강조했습니다.

Kaspersky 보고서는 "블록체인 기술을 사용하면 신뢰성과 익명성이 모두 보장됩니다. 이는 이 봇넷이 식별 가능한 중앙 컨트롤러 없이 시간이 지남에 따라 꾸준히 확장될 가능성이 있음을 나타냅니다."라고 밝혔습니다.

바이러스 백신 업데이트 및 EDR 배포

특히, 악성 코드에는 자체 전파 메커니즘이 없습니다. 대신 누군가가 취약점을 악용하여 초기 감염을 배포합니다. 예를 들어 Kaspersky가 관찰한 공격에서 공격 체인은 Apache Struts 2(CVE-2017-5638)의 오래된 취약점을 악용하여 시작되었습니다. 이는 우연히 공격을 시작하는 데 사용된 것과 동일한 버그입니다. 2017년 대규모 Equifax 데이터 유출).

따라서 NKAbuse를 사용하는 알려졌거나 알려지지 않은 위협 행위자의 표적 공격을 방지하기 위해 Kaspersky는 조직이 알려진 취약점을 해결하기 위해 운영 체제, 애플리케이션 및 바이러스 백신 소프트웨어를 계속 업데이트할 것을 권고합니다.

악용에 성공한 후 악성 코드는 공격자가 호스팅하는 원격 셸 스크립트(setup.sh)를 실행하여 피해자 장치에 침투합니다. 이 스크립트는 대상 OS 아키텍처에 맞춰 /tmp 디렉터리에 저장된 2단계 악성 코드 이식을 다운로드하고 실행합니다. 실행.

따라서 보안 회사는 침해 후 사이버 활동 탐지, 조사 및 즉각적인 사고 해결을 위해 엔드포인트 탐지 및 대응(EDR) 솔루션 배포도 권장합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot